Cámaras IP y contraseñas por defecto: haz lo que yo digo, pero no lo que yo hago

En el ámbito de la seguridad, los especialistas estudian el comportamiento de las amenazas informáticas y a menudo dan consejos que repiten una y otra vez. Esto no es por falta de originalidad, ni por vagancia, sino porque es realmente importante seguir esas buenas prácticas e insistirán hasta que todos los usuarios lo hagan.

El consejo de cambiar las contraseñas que vienen por defecto en los sistemas y dispositivos es uno de ellos: no es nuevo, se ha dicho en más de una ocasión, y es útil para protegerse de un gran abanico de amenazas. Hoy veremos un curioso caso para reforzar esta idea: sucede que un sitio muestra imágenes y grabaciones que obtiene de diversas cámaras IP, cuyos propietarios han tenido el descuido de no cambiar las claves por defecto de los equipos. Esto significa que mientras una persona está en la comodidad de su casa mirando televisión, o de compras en un shopping, otra persona, desde cualquier otro lado, podría observarla desde su computadora. ¡Y todo por una clave no modificada!

Acceder a cámaras no protegidas “no es difícil”, tal como desde el sitio Insecam explican: una simple búsqueda en Google con los contenidos de la página de identificación de cada fabricante de cámaras es suficiente. Si, además, se conoce con qué contraseña entrar (en este caso, al ser una contraseña por defecto se conoce), es posible acceder a la retransmisión de seguridad privada de una gran cantidad de cámaras.

El sitio muestra que en Estados Unidos aparecen más de 11 mil cámaras desprotegidas, mientras que en México hay 3.359, más de dos mil en Colombia, y más de mil en Argentina y Brasil. En tanto, en España 1.022 mantienen todavía su contraseña por defecto. Ahora bien, ¿por qué existe este sitio? ¿No es, a priori, un poco delicado que muestren abiertamente lo que ven las cámaras? Sin pensarlo demasiado, podemos decir que atenta contra la privacidad de las personas en pantalla.

Según precisan en el sitio, el objetivo es dar a conocer los problemas de seguridad que este tipo de instalaciones tienen si no se configuran correctamente. El problema existe y está ahí igualmente, con sitio web que lo muestre o no, así que quieren darle visibilidad para que la gente se preocupe y cambie la clave que les da el fabricante.

A continuación reproducimos el mensaje del sitio:

En ocasiones, los administradores (y posiblemente usted también) olvidan cambiar contraseñas por defecto como “admin:admin” o “admin:12345” en sistemas de vigilancia, cámaras online o DVR. Esas cámaras online están disponibles para todos los usuarios de Internet. Aquí puede ver miles de esas cámaras situadas en cafés, locales, centros comerciales, objetos industriales y dormitorios de todos los países del mundo. Para navegar por cámaras simplementa elija el país o el tipo de cámara.

Este sitio ha sido diseñado para mostrar la importancia de las configuraciones de seguridad. Para quitar su cámara pública de este sitio y hacerla privada, lo único que tiene que hacer es cambiar su contraseña.

Pero, ¿es legal este método? Sobre todo si tenemos en cuenta que el procedimiento habitual al descubrirse un agujero de seguridad es reportarlo al fabricante, para que lo solucione. A fin de cuentas, como indica Genbeta, los propietarios no han dado permiso para acceder a su red y no se les está notificando de ninguna forma que hay un problema de seguridad con ella.

El mensaje de la importancia de cambiar las contraseñas por defecto -y las consecuencias de no hacerlo- llega, pero podemos decir que el método no es de lo mejor, e inclusive hasta va algo en contra de lo que profesan: advierten los efectos del descuido en términos de seguridad y privacidad, pero a través de la exposición de la privacidad de las personas que aparecen en cámara sin saberlo. Sin dudas, un tanto contradictorio.

Tal como reflexiona Motherboard, Insecam es uno de los últimos -y tal vez más importante- ejemplos de una tendencia en la que los investigadores de seguridad arriesgan la intimidad de las personas bajo la justificación de la exposición de los problemas de seguridad. Aunque este enfoque a veces puede obligar a un proveedor a actuar y solucionar el problema, también puede dañar al público en general.

El abogado estadounidense Jay Leiderman, entrevistado por Motherboard, afirmó que la publicación de lo que muestran las cámaras es una clara violación a nivel legal: sin importar que no haya un “hackeo” en sentido estricto, ya que se accede a las cámaras a través de sus contraseñas por defecto, el hecho de que existan dichas contraseñas y se incluyan en el sistema significa que hay una intención por parte de su usuario de restringir el acceso, y mantenerlo privado. “Aunque la contraseña fuera ‘1’, igualmente es acceso a un sistema protegido”, declaró.

Lo que sí parece es que algunos fabricantes ya han tenido en cuenta este problema y ya obligan al usuario a cambiar la contraseña durante el proceso de instalación. Podría ser que se trate, en su mayoría, de modelos antiguos donde no existía este requisito. Desde luego, ese requisito aliviaría el problema, y otra medida viable sería liberar los equipos con contraseñas por defecto únicas y no en serie, que desde ya, deberían ser cambiadas obligatoriamente.

Créditos imagen: ©Mike Mozart/Flickr

Autor , ESET

Síguenos